Die schottische Gesundheitsbehörde „NHS Dumfries and Galloway“ wurde von einer Ransomware-Gruppe erfolgreich angegriffen. Gesundheitsdaten wurden entwendet und erste Pakete mit sensiblen Daten veröffentlicht, um die Erpressung zu untermauern. Mitte März bestätigte die Behörde den erfolgreichen Angriff. Am 26. März veröffentlichten die Täter Beweise für den Angriff auf ihrer Leak-Website und drohten damit, drei Terabyte gestohlener Daten zu veröffentlichen. Natürlich gab es die üblichen Bekundungen, eng mit der Polizei, der Regierung und anderen Behörden zusammenzuarbeiten, um den Vorfall zu untersuchen und zukünftige Sicherheitsrisiken zu verhindern.
So weit, so normal, wie es jeden Tag auf der ganzen Welt vorkommt. Und weil man die vielen Einzelfälle gar nicht mehr zählen kann, verwundert auch die fehlende Berichterstattung darüber nicht mehr. Cyber-Angriffe sind schlichtweg alltäglich geworden.
Veröffentlichtes psychologisches Gutachten. Sehr persönliche und intime Daten offen im Netz zugänglich.
Und doch ist in diesem Fall etwas anders, was die deutsche Presse und vor allem die Politik eigentlich dazu bewegen müsste, sich öffentlich mit diesem Vorfall zu beschäftigen: Die bisher veröffentlichten Daten einer "kleinen Zahl von Patienten" enthalten höchst private und intime Daten, nämlich Patientendaten wie psychologische Gutachten. Und die sind jetzt nicht nur in fremden Händen, sondern werden auch noch sukzessive veröffentlicht.
Unter diesem Gesichtspunkt ist es geradezu obszön, wenn die gehackte Behörde verkündet, die Patientendaten seien bei ihr sicher, denn schließlich lägen die Originaldateien der gestohlenen Daten unverändert vor. Sie suggerieren Datensicherheit, obwohl sie sich die Daten gerade haben stehlen lassen. Dreist auch der Hinweis, dass die medizinische Versorgung der Patienten gewährleistet sei - was hat das mit dem Datendiebstahl zu tun?
Dem deutschen Gesundheitswesen wird immer wieder nachgesagt, es sei unterfinanziert und überlastet. Die vielen gesetzlichen Krankenkassen betreiben eigene IT-Systeme. Die Politik spricht von Neuland und forciert gleichzeitig die Digitalisierung im Gesundheitswesen.
Auch wenn oder gerade weil Gesundheitsminister Lauterbach und die gematik versprechen, dass die Gesundheitsdaten sicher sind: Man sollte sich sehr gut überlegen, ob man bei der ePA und an allen anderen Stellen, wo es möglich ist, der Datenerhebung, Datenspeicherung und Datenweitergabe nicht widerspricht. Denn politische Datenschutzversprechen sind offensichtlich nichts wert.
So sieht es aus, wenn Kriminelle 3 Terabyte persönlichste Patientendaten als Erpressungspfand in der Hand haben. Heute Schottland, morgen..?
